網銀木馬偽裝成Google Chrome安裝程式
趨勢科技最近發現一些可疑的網址,顯示有個檔名為ChromeSetup.exe的惡意檔案放在類似Facebook和Google的網域。
這個經由趨勢科技主動式雲端截毒服務 Smart Protection Network資料分析處理後所標示出的發現的確引起了我們的注意。
從趨勢科技主動式雲端截毒服務 Smart Protection Network的資料來看,我們可以找到三個不同的二進制檔案似乎可以從下列網址下載:
- hxxp://br.msn.com/ChromeSetup.exe
- hxxp://www.facebook.com.br/ChromeSetup.exe
- hxxp://www.facebook.com/ChromeSetup.exe
- hxxp://www.globo.com.br/ChromeSetup.exe
- hxxp://www.google.com.br/ChromeSetup.exe
- hxxp://www.terra.com.br/ChromeSetup.exe
當我們仔細檢查了下載狀況,趨勢科技發現,所有下載都被重新導到兩個不同的IP地址,而不是這些網域的合法IP地址。更值得注意的是,可以看到客戶端來自於拉丁美洲,絕大多數來自巴西和秘魯。針對ChromeSetup.exe所做的檔案分析結果來看,這是個被偵測為TSPY_BANKER.EUIQ的多重組件銀行木馬。
一旦在系統上執行,TSPY_BANKER.EUIQ會將受感染系統的IP地址和作業系統名稱等資訊送到一個特定的IP地址。它同時也會下載一個設定檔,包含了當使用者想要連上某些銀行網站時,將其重新導向到假銀行網頁的資訊。
當使用者打開目標銀行網站時,TSPY_BANKER.EUIQ會劫持網頁請求,並顯示以下消息,騙使用者以為這網站要加載安全軟體,實際上是將使用者重新導到偽造的銀行網站:
然後它會打開Internet Explorer,根據瀏覽器標題連到新的連結。下面是一個假網站的截圖。請注意有「_」出現在視窗標題跟銀行網站網址:
另一方面,TSPY_BANKER.EUIQ的組件TROJ_KILSRV.EUIQ會去移除一個軟體 – GbPlugin,這是用來保護巴西銀行客戶進行網路銀行交易的軟體。它透過gb_catchme.exe來進行,這是個來自GMER的合法工具,稱為Catchme,原本是用來移除惡意軟體。但是在這案例裡被壞人用來做為惡意的工具。
進一步的調查
進一步的調查讓我們可以去存取TSPY_BANKER.EUIQ用來下載設定檔的網站索引頁。除了設定檔外,這個索引頁也存放了這惡意軟體所用的三個二進位檔案。
趨勢科技將受感染系統IP地址和作業系統名稱發送過去的IP地址,發現一個控制面板顯示和這攻擊有關的記錄檔。
在分析C&C控制面板的時候,趨勢科技觀察到註冊上來的日誌突然增加。事實上,這些被送回來的記錄檔在短短三小時內從400筆躍升到近6000筆。這些記錄檔來自3000個不重複IP地址,也可以由此看出被惡意軟體所感染的機器數量。
不幸的是,這伺服器很快就不能存取了。然而,這突然增加的惡意軟體C&C記錄檔可能意味著有惡意軟體爆發事件,或是他們當時正在遷移C&C伺服器。它同時也顯示這次襲擊是針對巴西用戶,針對巴西銀行。
趨勢科技也在進行調查分析時看到了銀行惡意軟體的變化。我們所拿到的最初幾個樣本會分開安裝三個不同的組件,但之後所看到的樣本已經可以用一個套件就安裝不同的組件。看起來像是這惡意軟體仍在開發中,我們可能在未來還會看到更新的變種。Roland還提到,他看過一個可能有關連性的C&C從2011年10月就開始了,這表示這起威脅的幕後黑手並不是個新手。
遺失的拼圖
雖然我們幾乎有這一特定攻擊的完整面貌了,但那遺失的拼圖就跟我們的威脅智慧從數以百萬計的資料中發覺到這個惡意軟體的理由一樣。它是如何在使用者存取像是Facebook或Google等正常網站時,將其重新導向到惡意IP地址去下載惡意軟體的。我們會繼續對這一事件進行調查,並且將研究結果更新到這個部落格。
網路威脅將會繼續進化並找出進入系統的方法。因此,傳統的網頁封鎖技術可能無法阻止去訪問惡意網址,特別是當它們使用Facebook或Google等合法網域做為掩護時。
這也是為什麼像趨勢科技主動式雲端截毒服務 Smart Protection Network這樣可以從全球威脅資料網路中提供情報的作法變得至關重要。這技術不僅讓我們可以識別和關聯全球新興攻擊,也讓我們可以在客戶環境中即時地部署適當的威脅防禦解決方案。
@原文出處:Info Stealer Poses as Google Chrome Installer作者:Brian Cayanan(威脅分析師)
@延伸閱讀
繼假 Facebook 登入頁面後,殭屍病毒ZeuS鎖定美國陸軍銀行帳戶